Sicherheitscheckliste für TYPO3-Installationen: Schotten dicht

Aus dem
t3n Magazin Nr. 15

Im Vergleich zu anderen Open-Source-Anwendungen und Content Management Systemen gilt der TYPO3-Kern als ziemlich sicher. Allerdings ist dies kein Grund, die Hände in den Schoß zu legen. Damit eine TYPO3-Installation wirklich sicher ist und bleibt, gilt es einige Regeln zu beachten, die in diesem Artikel vorgestellt werden.

Web-Dienste wie md5.rednoize.com ermöglichen es, einen md5-Hash-Wert in ein Klartextpasswort zurückzuwandeln.

Für viele Softwareanwendungen kursieren im Internet Anleitungen, die beschreiben, wie man Sicherheitslücken ausnutzt, sogenannte Exploits. Auf entsprechenden Websites [1] kann man nach dem Namen einer Applikation suchen und erhält eine Liste mit Beispielcode für einen möglichen Angriff.

Während dort für eine bekannte CMS-Anwendung allein im ersten Monat dieses Jahres 21 Exploits veröffentlich wurden, findet sich für TYPO3 kein einziger Eintrag. Dies bedeutet allerdings nicht, dass TYPO3 vollkommen sicher ist. Der Quellcode des Basissystems wird zwar sorgfältig geprüft, sowohl von dem Entwicklungsteam selbst als auch durch externe Audits von Anwenderseite, aber dennoch lassen sich Fehler nicht vollständig ausschließen.

Ein möglicher Schwachpunkt sind vor allem die über 3.600 derzeit verfügbaren TYPO3-Erweiterungen, die von vielen unterschiedlichen Entwicklern bereitgestellt werden. Je nach Erfahrung, Sicherheitsbewusstsein und Disziplin der Programmierer kommt es immer wieder vor, dass in Extensions Sicherheitslücken durch Cross-Site-Scripting (XSS) oder SQL-Injection entdeckt werden.

Seite: 1 2 3 4 5 6

►

Das interessiert dich bestimmt auch